Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Ich habe ein paar Regelprobleme und kann sie selbst leider nicht lösen. Hier das Fehlerlog. Ich versuche ein Secure Debian als Proxy/Firewall einzurichten.

Weis jemand was hier nicht stimmt?

####VARIABLEN

##Interfaces

Loopback="lo"

Internal="eth0"

External="eth1"

Internal_Net="192.168.1.0/24"

##Dienste/Server

DNS_Server=192.168.1.1:53

"cut"

--------------------------------------------------------------------------

Fehler

##Interne Ip Adresse

Int_IP='ifconfig $Internal | grep inet | grep -v inet6 | cut -d : -f 2 | cut -d ' ' -f 1

#Externe IP Adresse

Ext_IP='ifconfig $External | grep inet | grep -v inet6 | cut -d : -f 2 | cut -d ' ' -f 1

iptables -A POSTROUTING -t nat -p tcp -o eth1 -m multiport --dport 20,21,22,25,53,80,443,546,547,1701,110,143,993,995,3389 -j REDIRECT --to-ports 3128

iptables: Invalid argument. Run `dmesg' for more information.

iptables -A POSTROUTING -t nat -p udp -o eth1 -m multiport --dport 20,21,22,25,53,80,443,546,547,1701,110,143,993,995,3389 -j REDIRECT --to-ports 3128

iptables: Invalid argument. Run `dmesg' for more information.

<<--Was ist hier falsch??

---------------------------------------------------------------------------------------------------

iptables -A INPUT -i eth0 '!' -d -j DROP

Bad argument `DROP'

Try `iptables -h' or 'iptables --help' for more information.

<<--Hier hab ich die Variable $Int_IP eingetragen aber er schluckt sie nicht warum?

iptables -A INPUT -i eth0 '!' -d $Int_IP -j DROP

---------------------------------------------------------------------------------------------------

iptables -A OUTPUT -o eth0 '!' -s

iptables v1.4.9.1: option `-s' requires an argument

Try `iptables -h' or 'iptables --help' for more information.

<<--Er schluckt hier die variable nicht eigentlich sieht das so aus:

iptables -A OUTPUT -o $Internal ! -s $Int_IP

---------------------------------------------------------------------------------------------------

iptables -A OUTPUT -o eth0 -s -d 192.168.1.0/24 -m state --state NEW -j ACCEPT

Bad argument `192.168.1.0/24'

Try `iptables -h' or 'iptables --help' for more information.

<<--als destination hab ich hier die variable $Internal_Net eingetragen was stimmt nicht?

---------------------------------------------------------------------------------------------------

iptables -A PREROUTING -t nat -p tcp -i eth1 -d --dport 22 -j DNAT --to-destination eth1

Bad argument `22'

Try `iptables -h' or 'iptables --help' for more information.

iptables -A PREROUTING -t nat -p tcp -i eth1 -d --dport 80 -j DNAT --to-destination eth1

Bad argument `80'

Try `iptables -h' or 'iptables --help' for more information.

<<--er schluckt die ports nicht aber warum??

----------------------------------------------------------------------------------------------------

Welche Service ports (0:1024) würdet ihr immer offen lassen?

Was müsste ich noch verändern um ipv6 mit einzubeziehen?

* Das ist ein Fehlerlog bitte die Pluszeichen und Striche die nicht auskommentiert sind missachten

Über jede Hilfe bin ich sehr dankbar. Die meisten Fehler habe ich selber bereinigt aber das da oben bekomme ich nich hin :-/

Mfg

Benjamin

Geschrieben

Hi,

ich bin kein Iptables Guru, aber das sieht mal nach falscher Syntax aus. Z.B.:

iptables -A INPUT -i eth0 '!' -d -j DROP

Da fehlt doch offenbar das Ziel.

Ich gehe jetzt mal nicht jede Zeile durch, aber was soll das denn hier:

iptables -A POSTROUTING -t nat -p tcp -o eth1 -m multiport --dport 20,21,22,25,53,80,443,546,547,1701,110,143,993,995 ,3389 -j REDIRECT --to-ports 3128

Da soll jeder Port an 3128 weitergeleitet werden? Also du hast ein Proxy, der für sämtliche Dienste den Datenverkehr annehmen soll?

Welche Service ports (0:1024) würdet ihr immer offen lassen?

Ähem, die, die du brauchst. Pauschal gibt es dafür natürlich keine Regel.

Wenn du auf einem Remotesystem arbeitest, solltest du natürlich aufpassen, dass du dich nicht aussperrst.

An deiner Stelle würde ich auch mal darüber nachdenken, eine GUI für die Iptables zu nutzen, damit zumindest schonmal die Syntax stimmt:

Firewall Builder 4 | Features

Mhhh...früher war der mal kostenlos.

Geschrieben

Hi,

danke erstmal für die Antwort.

1. Also wie ich ja geschrieben habe und wie du unten auch ersehen kannst ist das Ziel hier die Interne Ip Adresse. Sie ist variable deklariert aber er nimmt sie nicht an ich weis nicht warum....

iptables -A INPUT -i eth0 '!' -d -j DROP

Bad argument `DROP'

Try `iptables -h' or 'iptables --help' for more information.

<<--Hier hab ich die Variable $Int_IP eingetragen aber er schluckt sie nicht warum?

iptables -A INPUT -i eth0 '!' -d $Int_IP -j DROP

2. Ja ich habe einen Squid Proxy mit Squidguard und anderem zeugs darum soll das ganze umgeleitet werden. Möglicherweise ist es ein logik Problem aber ich komm nicht drauf. Und ja ich weis grundsätzlich sollte man alles zu machen was nicht gebraucht wird. Wollte eher mal fragen wie die anderen das handhaben.

3. Zu deinem Firewallbuilder ich hab das ganze Regelwerk fertig bin nur noch auf Fehlersuche. Sobald das ganze fertig ist werde ich das Script dann auch veröffentlichen, so das man nur noch sein netzwerk eintragen muss :-)

Wenn du willst kann ich es ja mal posten ist aber recht umfangreich....

Mfg

Benjamin

Geschrieben

iptables -A POSTROUTING -t nat -p tcp -o eth1 -m multiport --dport 20,21,22,25,53,80,443,546,547,1701,110,143,993,995,3389 -j REDIRECT --to-ports 3128

versuchs doch mal mit --dports statt --dport...und statt --to-ports --to-port...und die 53 kannste da auf jedenfall schon mal rausschmeissen.

Wenn iptables sagt dass du mit dmesg mal nachschauen solltest, dann würde ich das tun.

Manchmal sind nicht alle benötigten Module in den Kernel geladen.

Geschrieben

habe mal in meinem firewallscript nachgeschaut..diese Regel funktioniert.

iptables -t nat -A PREROUTING -i eth1 -p udp -m multiport ! --dport 22,53 -j REDIRECT --to-ports 1080

eth1 ist halt meine interne nic..

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...